Google ออกแพตซอัปเดตฉุกเฉินเพื่อแก้ไขช่องโหว่ Zero-Day ของ Chrome หนึ่งรายการ (CVE-2025-6554) ที่กำลังถูกนำไปใช้ในการโจมตี ซึ่งถือเป็นช่องโหว่ที่สี่ที่ได้รับการแก้ไขนับตั้งแต่ต้นปี 2025
Google ได้แก้ไขช่องโหว่ Zero-Day (CVE-2025-6554) เมื่อวันที่ 26 มิถุนายน 2025 โดยการเปลี่ยนแปลง configuration ที่ส่งไปยังช่องทางทุกแพลตฟอร์ม Windows (138.0.7204.96/.97), Mac (138.0.7204.92/.93) และ Linux (138.0.7204.96)
Clément Lecigne จาก Threat Analysis Group (TAG) ของ Google ซึ่งเป็นกลุ่มนักวิจัยด้านความปลอดภัยที่เน้นการปกป้องลูกค้าของ Google จากการโจมตีที่ได้รับการสนับสนุนจากรัฐบาล และการโจมตีในลักษณะเดียวกันเป็นผู้ค้นพบช่องโหว่ดังกล่าว
Google TAG มักค้นพบช่องโหว่ Zero-Day ที่ใช้โดย Hacker ที่ได้รับการสนับสนุนจากรัฐบาลในการโจมตีแบบกำหนดเป้าหมายไปยังบุคคลที่มีความเสี่ยงสูง รวมถึงนักการเมืองฝ่ายค้าน ผู้เห็นต่าง และนักข่าว ด้วยสปายแวร์
แม้ว่าการอัปเดตด้านความปลอดภัยที่แก้ไขช่องโหว่ CVE-2025-6554 อาจใช้เวลาหลายวัน หรือหลายสัปดาห์กว่าจะไปถึงผู้ใช้ทั้งหมด แต่ทั้งนี้การอัปเดตดังกล่าวพร้อมให้สามารถอัปเดตได้แล้ว
ผู้ใช้ที่ไม่ต้องการอัปเดตด้วยตนเองยังสามารถใช้เบราว์เซอร์เพื่อตรวจสอบการอัปเดตใหม่โดยอัตโนมัติ และติดตั้งหลังจากเปิดในครั้งต่อไปได้
CVE-2025-6554 เป็นช่องโหว่ Confusion Vulnerability ความรุนแรงระดับ High ใน Chrome V8 JavaScript engine แม้ว่าช่องโหว่ดังกล่าวมักจะทำให้เบราว์เซอร์หยุดทำงานหลังจากการโจมตีสำเร็จ โดยการอ่าน หรือเขียนหน่วยความจำนอกขอบเขตบัฟเฟอร์ ซึ่ง Hacker ยังสามารถใช้ช่องโหว่หล่านี้เพื่อเรียกใช้โค้ดตามที่ต้องการบนอุปกรณ์ที่ยังไม่ได้รับการอัปเดตแพตซ์
แม้ว่า Google จะระบุว่า ช่องโหว่นี้กำลังถูกใช้ในการโจมตีจริง แต่บริษัทก็ยังไม่ได้เปิดเผยรายละเอียดทางเทคนิค หรือข้อมูลเพิ่มเติมเกี่ยวกับการโจมตีเหล่านี้ เนื่องจากจะถูกจำกัดไว้จนกว่า ผู้ใช้ส่วนใหญ่จะได้รับการอัปเดตด้วยการแก้ไขช่องโหว่ รวมถึงหากช่องโหว่นั้นอยู่ใน Third Party Library ที่โครงการอื่น ๆ ต้องใช้ในลักษณะเดียวกัน แต่ยังไม่ได้รับการแก้ไข
ช่องโหว่นี้เป็นช่องโหว่ Zero-Day ของ Google Chrome ครั้งที่สี่ที่ถูกแก้ไขอย่างจริงจังนับตั้งแต่ต้นปี 2025 โดยมีการแก้ไขอีกสามครั้งในเดือนมีนาคม พฤษภาคม และมิถุนายน
ช่องโหว่ Sandbox Escape Flaw ที่มีระดับความรุนแรงสูงเป็นกรณีแรก (CVE-2025-2783) ที่รายงานโดย Boris Larin และ Igor Kuznetsov จาก Kaspersky ถูกใช้ในการโจมตีทางจารกรรมที่กำหนดเป้าหมายไปยังองค์กรของรัฐบาลรัสเซีย และสื่อต่าง ๆ ด้วยมัลแวร์
Google ได้ออกชุดอัปเดตความปลอดภัยฉุกเฉินอีกรายการในเดือนพฤษภาคมเพื่อแก้ไขปัญหา Chrome Zero-Day (CVE-2025-4664) ที่ทำให้ Hacker สามารถเข้าถึงบัญชีได้
หนึ่งเดือนต่อมา Google ได้แก้ไขช่องโหว่ Out-of-Bounds Read and Write Weakness ใน Chrome V8 JavaScript engine ซึ่งค้นพบโดย Benoît Sevens และ Clément Lecigne จาก Google TAG
ในปี 2024 Google ได้แก้ไขช่องโหว่ Zero-Day รวมทั้งหมด 10 รายการ ที่ถูกนำไปใช้ในการโจมตี หรือสาธิตในระหว่างการแข่งขันแฮ็ก Pwn2Own
ที่มา : bleepingcomputer
You must be logged in to post a comment.